読者です 読者をやめる 読者になる 読者になる

sonickun.log

備忘録

ハニーポットはじめました。

ハニーポット セキュリティ

 サーバ初心者がついに念願のハニーポット運用を始めました.
 新しいサーバも同時に立ち上げたので環境構築でアホみたいにつまづいています.

ハニーポット(Dionaea)について

 ハニーポットには分類がありまして,低対話型/高対話型とサーバ型/クライアント型があります.
 

  • 低対話型・・・本物の「ような」環境や、その反応をエミュレートすることで侵入、攻撃を行う者(または、プログラム)を観察し、情報を得るもの
  • 高対話型・・・脆弱性が存在する本物のOSやアプリケーションを用いて構築されるもの

 

  • サーバ型・・・攻撃を待ち受ける
  • クライアント型・・・わざと脆弱性のある環境でアクセスし、感染の有無でウイルス攻撃を検出する

 
 今回選んだ"Dionaea"というハニーポットは,「低対話型サーバ型ハニーポット」に分類されます.(読み方は「ディオナエア」で合ってる?笑)
 IPAの資料によると,Dioneaaは「最も推奨されるハニーポットツールFTP、WINS、TFTP、MS Windows RPC、SMB、HTTPSMSSQLMySQLVoIP など幅広くサポートし、動作のエミュレーションレベルも高い」とあります.

 

今後ハニーポットでやりたいこと

  • パケットキャプチャ&Dionaeaのログをひたすら眺める
  • ログを元に色々統計をとってみる
  • マルウェアを拾ったら解析してみる
  • WEB周りをごにょごにょしたい,PHPを書きたい
  • 各種解析ツール,便利ツールなどを入れる(WinScpとか)
  • ドメイン取得した方がいいというお話を聞いたので検討する

 
 

パケットキャプチャについて

 パケットキャプチャにはtcpdumpを使っています.pcapデータの解析にはtsharkなどの各種ツールを使っていこうと思います.
 
 ず-っと同じファイルに書き出していくと,サイズが大きくなって解析もしにくくなるので,ファイルを1日毎に分割する工夫をしました.

tcpdump.sh
#!/bin/sh
#86400秒(1日)毎にファイルを分割して出力する
sudo tcpdump -G 86400 -np -Z root -w /home/***/pcap/tcpdump_%Y%m%d%H%M%S.pcap 

どうせなら深夜0時0分にキャプチャを始めたいということで,atコマンドでスケジューリングをします.

$ at "00:00 03.10.14" -f tcpdump.sh

 
 

【おまけ】さっそくやらかした話

 sudoの設定ファイルのアクセス権限をいじったせいでsudoの実行ができなくなって最終的にサーバのインスタンスそのものを潰すことになった話をします.

 とある事情で,sudoの設定ファイル"/etc/sudoers"を編集する必要があり,単純に書き換えようとしたら,書き込み権限ないためにできませんでした.
 そこでアクセス権限の情報を見てみると

-r--r-----  1 root root    4004 Oct  3 13:11 sudoers

 とあり,「あーなるほど,rootでも書き込み権限がないんだな,ならchomdで権限を与えてやろう」

 と,chmodで権限を与える.
 
 /etc/sudoersにアクセスすると「書き込みできるようになっちゃってるよ!危ないから開けないようにしておくよ!」と言われ,開けなくなる.
 
 sudoを実行しようとすると「設定ファイルが書き込みできるようになっちゃってるよ!危ないから実行できないようにしておくよ!」と言われ,実行できなくなる.

 chmodで権限を元に直そうにもsudoが使えないので実行できない.


 詰む.


 こんな感じで何もできなくなり,インスタンスを新しく作りなおすことになりました(笑)

 事の顛末は,実はLinuxでは,上記のような権限情報になっていてもrootでは書き込みができるようになっているとのこと.
 ですから,権限をいじらなくてもsudo viとかsudo visudoでよかったんですねぇ...パソコン初心者なのでつらい…
 
 
 良い教訓になりました.